12.11.4 サーバ証明書の検証
暗号化通信開始時にクライアント(接続元)が検証する,サーバ証明書の検証について説明します。
暗号化通信開始時にクライアントはサーバ(接続先)からサーバ証明書を受信し,受信したサーバ証明書を検証することでサーバの正当性を確認します。
通信暗号化機能でクライアントが検証する,サーバ証明書の検証内容を次に示します。
検証する通信については「表 12-19セントラルコンソールの証明書の検証内容」,「表 12-20セントラルスコープの証明書の検証内容」,または「表 12-21IM構成管理の証明書の検証内容」を参照してください。
- 〈この項の構成〉
(1) 署名の検証
クライアントはサーバ証明書を受け取り,クライアントにあらかじめ配置してあるルート証明書を使用し,サーバ証明書の署名を検証します。
(2) サーバ証明書のホスト名の検証(CNおよびSANの検証)
サーバ証明書のホスト名の検証(CNおよびSANの検証)では,クライアントの接続先のホスト名と,サーバ証明書のホスト名が一致していることを確認します。これは,サーバ証明書のCNまたはSAN(dNSName)に記載したホスト名と,クライアントが認識している接続先のホスト名を比較します。※
サーバ証明書のCNまたはSAN(dNSName)に記載したホスト名に,クライアントが認識している接続先のホスト名が含まれていない場合,通信を切断します。
注※ サーバ証明書にSAN(dNSName)が記載されている場合,SAN(dNSName)だけを比較対象とし,CNは比較対象としません。
サーバ証明書のホスト名の検証(CNおよびSANの検証)に使用する接続先ホスト名については「12.11.4(3)サーバ証明書のホスト名の検証(CNおよびSANの検証)に使用するホスト名」を参照してください。
(3) サーバ証明書のホスト名の検証(CNおよびSANの検証)に使用するホスト名
サーバ証明書のホスト名の検証(CNおよびSANの検証)では,次に示すホスト名を使用します。また,通信暗号化機能を使用する場合,次に示すホスト名にIPアドレスを使用できません。
-
JP1/IM - Viewのログイン画面の接続先ホスト名
-
jcochstatコマンドの-hオプションに指定するマネージャーホスト名
-
システムの階層構成としてIM構成管理に登録するホスト名
JP1/IM - Managerでサーバ証明書のホスト名の検証(CNおよびSANの検証)する通信については「表 12-19セントラルコンソールの証明書の検証内容」,「表 12-20セントラルスコープの証明書の検証内容」,または「表 12-21IM構成管理の証明書の検証内容」を参照してください。
(4) サーバ証明書の有効期限
クライアントは,サーバ証明書の有効期限を確認します。
サーバ証明書の有効期限はセキュリティレベルを保つために設定する期間であるため,有効期間外の場合はサーバとの通信を切断します。
サーバ証明書の期限切れの事前通知を受けたい場合は,公的CAのサービスを利用してください。
証明書の更新については,「12.11.2(3) 証明書のメンテナンスについて」を参照してください。
(5) セントラルコンソールの証明書の検証内容
セントラルコンソールの暗号化できる範囲,および証明書の検証内容を次に示します。
図中の丸付き番号は,次に示す項番にそれぞれ対応しています。
項番 |
通信個所※1 |
接続元によるサーバ証明書の検証 |
接続元によるルート証明書の検証※2 |
|||
---|---|---|---|---|---|---|
接続元 |
接続先 |
署名の検証 |
サーバ証明書のホスト名の検証(CNおよびSANの検証)に使用するホスト名 |
有効期限 |
有効期限 |
|
1 |
セントラルコンソール・ビューアー |
イベントコンソールサービス |
○ |
○ ログイン画面の接続ホスト名 |
○ |
○ JP1/IM - Viewに配置したルート証明書を検証 |
2 |
セントラルコンソール・ビューアー |
コマンド実行 |
○ |
○ |
||
3 |
jcochstatコマンド |
イベントコンソールサービス(他ホスト) |
○ |
○ -hオプションで指定するマネージャーホスト名 |
○ |
○ マネージャーホストに配置したルート証明書を検証 |
4 |
イベントコンソールサービス |
認証サーバ |
JP1/Baseの通信暗号化機能を使用して通信します。JP1/Baseの通信暗号化機能については,マニュアル「JP1/Base 運用ガイド」を参照してください。 |
(6) セントラルスコープの証明書の検証内容
セントラルスコープの暗号化できる範囲,および証明書の検証内容を次に示します。
図中の丸付き番号は,次に示す項番にそれぞれ対応しています。
項番 |
通信個所※1 |
接続元によるサーバ証明書の検証 |
接続元によるルート証明書の検証※2 |
|||
---|---|---|---|---|---|---|
接続元 |
接続先 |
署名の検証 |
サーバ証明書のホスト名の検証(CNおよびSANの検証)に使用するホスト名 |
有効期限 |
有効期限 |
|
1 |
セントラルスコープ・ビューアー |
セントラルスコープサービス |
○ |
○ ログイン画面の[接続ホスト名] |
○ |
○ JP1/IM - Viewに配置したルート証明書を検証 |
2 |
セントラルスコープサービス |
認証サーバ |
JP1/Baseの通信暗号化機能を使用して通信します。JP1/Baseの通信暗号化機能については,マニュアル「JP1/Base 運用ガイド」を参照してください。 |
(7) IM構成管理の証明書の検証内容
IM構成管理の暗号化できる範囲,および証明書の検証内容を次に示します。
図中の丸付き番号は,次に示す項番にそれぞれ対応しています。
項番 |
通信個所※1 |
接続元によるサーバ証明書の検証 |
接続元によるルート証明書の検証※2 |
|||
---|---|---|---|---|---|---|
接続元 |
接続先 |
署名の検証 |
サーバ証明書のホスト名の検証(CNおよびSANの検証)に使用するホスト名 |
有効期限 |
有効期限 |
|
1 |
IM構成管理・ビューアー |
IM構成管理サービス |
○ |
○ ログイン画面の接続ホスト名 |
○ |
○ JP1/IM - Viewに配置したルート証明書を検証 |
IM構成管理・ビューアー (拠点ビュー起動時) |
○ |
○ IM構成管理で登録した「ホスト名」 |
○ |
○ JP1/IM - Viewに配置したルート証明書を検証 |
||
2 |
IM構成管理サービス(統合マネージャー) |
IM構成管理サービス(拠点マネージャー) |
○ |
○ IM構成管理で登録した「ホスト名」 |
○ |
○ マネージャーホストに配置したルート証明書を検証 |
3 |
IM構成管理サービス |
認証サーバ |
JP1/Baseの通信暗号化機能を使用して通信します。JP1/Baseの通信暗号化機能については,マニュアル「JP1/Base 運用ガイド」を参照してください。 |